9

Exiftool:
¿Los metadatos sirven de algo?

Rafael Perales Cañete*

@D_mas_I

¿Qué documento gráfico consideras que tiene más peso como

prueba?
¿Éste? ¿O éste?

Fotógrafos del estudio Marceau (Joseph Byron, Ben Selfie realizado en la gala de los Oscars de 2014.
Falk, Pirie MacDonald, Pop Core y el propio Marceau) Foto del post: http://www.abc.es/estilo/gente/20141227/abci-selfies-
famosos-anio-201412261842_1.html
realizan en diciembre de 1920 el que puede que sea el
primer selfie de la historia de la fotografía.
Foto del post: http://www.que.es/ultimas-
noticias/curiosas/201402272128-sabes-primer-selfie-historia.html

* Abogado del Ilustre Colegio de Abogados de Córdoba, en ejercicio desde el año 1.996 y con despacho profesional en
Córdoba. Es actualmente letrado asesor de la Delegación en Córdoba del Ilustre Colegio de Gestores Administrativos
de Sevilla y las especialidades de su despacho profesional son Derecho Administrativo, Derecho Informático y sobre
las Tecnologías de la Información y Comunicación, y Derecho a la Protección de Datos Personales. Es especialista
universitario en protección de datos y privacidad. Es miembro de ENATIC (Asociación de Expertos Nacionales de la
Abogacía TIC) miembro de APEP (Asociación Profesional Española de Privacidad) y socio promotor fundador de
ANPhacket (Asociación Nacional de Profesionales del hacking ético) de la que es Secretario y Asesor Jurídico.
También es miembro de la Comisión de Nuevas Tecnologías del Ilustre Colegio de Abogados de Córdoba.

108
Una persona de principios de siglo XX si viera ambas fotos diría que ambos
documentos gráficos tienen igual valor. Una persona del siglo XXI además
diría que la segunda foto, ya que está realizada con un Smartphone de última
generación incluye en su archivo digital una serie de datos que pueden aportar
más información por ejemplo la ubicación donde fue realizada, el autor, la hora
de su captura, etc...
La primera foto, que solamente consta en soporte papel ¿qué capacidad o
forma de modificarla existe? Pues mínima, ya que difícilmente se podría realizar
algún cambio sin dañar o modificar la celulosa donde se ha impregnado o sin
alterar los productos químicos utilizados tales como nitrato de plata (AgNO3)
y Bromuro de sodio o de potasio (NaBr/KBr).
Y la segunda foto, que figura en un soporte digital ¿qué capacidad hay de
editarla? Se puede intuir hoy en día que bastantes más posibilidades ¿verdad?,
por ejemplo esta:

Foto de http://www.que.es/gente/fotos/selfie-famoso-mundo-f808432.html

O incluso pedir que alguien te la modifique:

109
Ignorantes y analfabetos digitales
Después de lo expuesto ya no está tan claro que si una foto que existe en
soporte digital se imprime en papel ¿es una prueba tan “sólida” como la
primera fotografía? Obviamente el contenido gráfico y visual que muestra
puede o no coincidir con lo expuesto en ambos soportes: el automatizado y el
manual, y ha podido ser modificado antes de su impresión mediante todo tipo
de software: Photoshop, Gimp, Imageforce, etc...
La aparente solución para que no pierda veracidad o autenticidad es no
“sacarla” de su mundo digital: allí se generó y allí ha de permanecer, pero hay
otra solución informática que puede ayudarnos a comprobar su veracidad (por
lo menos, en principio).
Todo archivo informático, por lo general, dispone de un grupo de datos
“ocultos” que describen el contenido informativo de un objeto al que se
denomina recurso, son los denominados metadatos.

110
Si por ejemplo se aporta como prueba en un procedimiento judicial una
fotografía digital (un documento gráfico en soporte automatizado, para ser más
correcto) y el juzgador ignora los conceptos básicos informáticos puede que le
dé el mismo valor que una fotografía analógica (un documento gráfico en
soporte manual, para seguir siendo correcto) También podemos alegar que
dicho soporte automatizado puede analizarse y mediante sus metadatos
comprobar sus características, modificaciones de dicho archivo, información
sobre su realización (lugar, hora, fecha) etc… aportando más datos e
información complementaria.

Todo bien ¿no? Pero... a estos datos se accede mediante software, y, atención
para quién no lo conozca, también existen herramientas de software que
pueden modificarlos o suprimirlos, por ejemplo una herramienta open source
“Exiftools” al alcance de cualquiera.

¡ Jugemos con Exiftools !

Hagamos una pequeña demostración.

Podemos comprobar en un archivo de imagen que fue realizada con un

Smartphone marca Motorola, y con este sencillo comando...

podemos hacer que …

que resulte de sus metadatos que fue realizado con un iPhone (obviamente
también habría que cambiar el modelo de la cámara …) Y si dicho archivo va a
ser objeto de una pericial informática, o lo vamos a enviar a un tercero de
confianza para su custodia, o si lo entregamos a un Notario para que de fe

111
pública del contenido de los metadatos … puede que se note un poco que ese
fichero ha sido modificado, pues en los metadatos figura también la fecha de la
creación y modificación del archivo. ¡No hay ningún problema! Cambiemos la
fecha de la Bios del sistema, por ejemplo al año 1.981...

Volvamos a utilizar la “magia” de Exiftools, y …

Los metadatos nos “demostrarán” que hemos realizado una foto con un
iPhone en el año 1.981 (también habría que cambiar todas las referencias al
genuino Motorola que creó el archivo, no soy un experto hacker, todavía …)

112
Si nos fallan los metadatos ¿qué nos queda?
Si la imagen impresa de un soporte automatizado puede no servir porque
puede haber sido editada y si la imagen aportada en soporte digital con
metadatos tampoco porque estos pueden ser haber sido modificados, por lo
que ¿todo archivo digital puede incurrir en una sospecha de poder haber sido
modificado o editado? Aparentemente, sí.
Si nos vamos a desenvolver y actuar en el mundo digital hay que conocer dicho
mundo informático, pues también existen medios y herramientas que aportan
garantías y protegen los contenidos en soportes automatizados, lo que nos
obliga a que si queremos aportar un documento en soporte electrónico se
hayan adoptado una serie de cautelas que de ordinario no se adoptan, entre
ellas la más efectiva es encriptar el archivo, incluido si es posible los metadatos,
por ejemplo una herramienta que lo permite es la aplicación Foxit Reader:

Pero esto sería una garantía frente a terceros, nada impediría que fuese el autor
o creador del documento digital el que modificase su propio archivo con los
datos que le apeteciera.
Si alegamos que para la garantía de un documento digital, cuando existan dos
partes, también se puede firmar digitalmente el archivo automatizado, ya que si
se realiza alguna modificación se perdería la incrustación del certificado digital
en el archivo (la firma digital consiste en la incorporación a un archivo
automatizado de un certificado digital, que no es más que otro archivo digital
con el cual se combina) pero esto es para el caso de que existan los partes,
comprueben y estén de acuerdo del contenido y entonces procedan a su firma
digital, porque si yo firmo una fotografía digital (en cualquier formato) ¿quién

113
me puede asegurar que antes de realizar el proceso de firmado digital mediante
un certificado electrónico no ha sido modificado el archivo, tanto lo que
muestra como sus metadatos?
La grandeza y la miseria de la Sociedad de la Información
Aquí está la grandeza y la miseria del actual mundo digital: toda la facilidad para
comunicarse y representar la realidad no se basa en la seguridad sino en la
facilidad, y debido a esa falta de seguridad todo medios electrónicos que
pueden servir de prueba de hechos o contener actos jurídicos, pueden ser de
ordinario fácilmente manipulables, siempre por su creador, y por una falta de
cautelas y de medidas de seguridad mínimas por terceros.
Recuerdo que cuando comenté en mi ámbito informático (mi otro ámbito es el
jurídico) la famosa sentencia que argumentaba sobre la validez como prueba de
las captura de pantalla o “pantallazos” (Sentencia del Tribunal Supremo de
fecha 19 de mayo de 2015, número 300/2015) ¡creían que al comentar el texto
de la sentencia estaba contando una chiste! Me decían: “¿en serio se ha admitido
alguna vez una captura de pantalla como prueba?
Sí, y podría ser como la que adjunto ahora:

(Imagen retocada de un navegador y capturada en pantalla)

Desde mi punto de vista, ¿por qué se tuvo que “esforzar” el mundo jurídico en
argumentar la validez o certeza de una prueba que consistía en una captura de
pantalla? Simplemente porque no conocen el mundo informático, solamente lo
usan, no saben cómo funciona. Un informático o simplemente un nativo

114
digital o una persona que no sea analfabeta digital entendería rápidamente el
“fake” anterior, una persona educada y criada entre papeles lo miraría “como si
fuese un papel de toda la vida” y conforme a lo que para él representa “Un
Papel” (en sentido genérico) quedaría atónito, y no hay que extrañarse, ya que
las expresiones populares “Hablen papeles, callen bocas” o “Callen barbas y
hablen cartas” tienen su peso entre los descendientes de Gutenberg, no entre
los nativos digitales.
Conclusiones
La prueba electrónica es hoy en día, desde mi punto de vista, la más
“sospechosa” pues es la más susceptible de modificación, ya que no se adoptan
de forma corriente ninguna precaución o cautela en su creación y
conservación, y siempre, siempre, puede haber sido modificada por su creador
tanto en su contenido (retoques) como en la información adjunta al fichero
(cambio en los metadatos).
Dicha prueba digital ha de ser valorada y considerada junto con el resto de
elementos probatorios, pues la prueba digital no es ni más ni menos que
cualquier otro medio de prueba. Así, si una fotografía digital o incluso un
“pantallazo” o captura de pantalla, encaja con el resto de elementos
probatorios puede ser perfectamente un medio válido de prueba. No obstante
si es el único medio de prueba, se debería sospechar (si no se admite de
contrario, obviamente).
¿Sabemos distinguir si un documento en soporte digital ha sido objeto de
modificación? En lo que respecta a documento en un soporte automatizado
que configure un acto jurídico, por ejemplo un contrato, tendríamos suficientes
garantías si el soporte digital donde estuviese contenido tuviera incorporados
los certificados digitales de las partes intervinientes, o sea, que hubiese sido
firmado digitalmente por ambas partes. Pero ¿y el resto?, por ejemplo
fotografías o archivos de imagen u otros archivos automatizados. Gracias a
aplicaciones como Exiftools, deberemos de buscar más pruebas, y en todo
caso deberemos confiar en la pericia de los ingenieros informáticos, para el
análisis informático del soporte, que dicho sea de paso, de los cuales no pienso
separarme ya en lo que resta de mi vida profesional.
Rafael PERALES CAÑETE
Fuente original:
http://derechomasinformatica.es/bitacora/?p=751

115
 11
Érase una vez... un Perito
Informático

Carlos Aldama Saínz*

@carlosaldama

Son múltiples los temas a tratar, todos ellos relacionados con la “Validez y
Eficacia procesal de Evidencias Digitales”, sin embargo uno ve que han
participado perfiles de la talla de @josecarmelollb y @notarioalcala (en
calidad de Notarios), diferentes abogados y especialistas de la talla de
@sergiocm o @D_mas_I, unido a compañeros y amigos como @JagmTwit
en calidad de perito informático y se pregunta… ¿No se habrá dicho ya todo?
En primer lugar, toca presentarme, soy Carlos Aldama, Perito Ingeniero
Informático. Estoy colegiado en el Colegio de Ingenieros en Informática de
Madrid y pertenezco a numerosas asociaciones (ISACA, ALI, APAJCM,…)
orientando mi trabajo en exclusiva a la maravillosa labor de los peritajes
informáticos y realizando también diferentes cursos y seminarios en
universidades y eventos.
No seré yo quien entre a valorar las magníficas y diferentes aportaciones de mis
compañeros que han aceptado el reto y que he leído con sumo gusto y que

* Ingeniero Informático por la Universidad Antonio de Nebrija y Bachelor of Science in Computer Science por la
Universidad de Wales. Su carrera profesional comienza en 1.996 y desde entonces ha ejercido como consultor, auditor
y perito informático, además de ser socio de varias empresas en Madrid relacionadas con las Nuevas Tecnologías y
Sistemas Informáticos.

123
“casi” de manera íntegra también suscribo. Siempre he sido de los que he
defendido que el Notario da fe de lo que ve y no garantiza si lo que ve está
siendo o no manipulado, sin embargo tras las lecturas de los artículos escritos
por dos conocidos “Notarios TIC” en este reto, me queda poco más que
reconocer su gran artículo y darles la razón al trabajo que desempeñan,
haciendo un pequeño matiz respecto a las diferencias que pueden existir con
los peritos ingenieros informáticos que nos dedicamos a esta labor de manera
continuada y que creo podemos aportar más valor técnico a la prueba. Si, ya sé
que la respuesta a esto es sencilla: Depende del perito que tengamos en frente y
depende del Notario, es por ello que me quito el sombrero ante la calidad de
los participantes al reto y les doy mi enhorabuena por el trabajo realizado.
Más allá de todo lo anterior, uno siempre se pregunta: ¿Para qué sirve un perito
informático? ¿Cuál es su labor principal? ¿Cómo es el trabajo de un perito y
que procedimientos usa? Pues bien, sin entrar a hablar de la cadena de custodia
en profundidad (tarea realizada de manera excelente por un gran compañero
@JagmTwit), pasaré a tocar todos los puntos básicos necesarios para realizar
una pericia eficaz y que sea plenamente válida en un proceso judicial.
Los peritos siempre nos apoyamos en el Principio de Intercambio de Locard,
que decía básicamente que “cada contacto deja un rastro”. Siempre existirá una
pista o huella que permita realizar el inicio de recogida de evidencias para
generar nuestro análisis y sacar conclusiones en nuestra investigación. ¿He
dicho SIEMPRE? ¿Seguro que SIEMPRE?…. bueno, dejaremos un “casi
siempre” para aquellos que aseguran que en informática TODO es
manipulable. Sin embargo debemos pensar que si ya asumimos que toda
prueba es manipulable y no deja huella, podríamos muchos de nosotros buscar
una nueva profesión. La respuesta a esto es sencilla, nuevamente se debe decir
que “todo contacto deja rastro”. Podemos escribir artículos indicando que
WhatsApp es manipulable y que no deja rastro, sin embargo deberíamos ser
coherentes y matizar que para realizar manipulaciones se deben dar una serie
de condicionantes y que además tendríamos otros rastros paralelos que nos
indicarían obligatoriamente a garantizar la manipulación de la prueba (pongo
WhatsApp como ejemplo dado que es del que más se ha escrito últimamente,
pero este ejemplo es extensible a cualquier otro soporte digital).
Cada pericia informática siempre es un mundo diferente, casos diferentes,
sistemas diferentes, personal diferente…. el único punto que siempre es común
a todos ellos es el perito informático que realiza la investigación y la objetividad

124
a la hora de tratar los datos técnicos que tiene. El perito siempre debe realizar
una misma sistemática y esta comienza por algo necesario:

El acotamiento de la escena
Si el perito realiza un acotamiento muy amplio llevará a investigar fuera del
objeto deseado, mientras que si el acotamiento es muy estrecho es muy
probable que perdamos evidencias importantes.
Una vez realizado correctamente el acotamiento, recopilaremos y
garantizaremos de manera segura el traslado de las evidencias para su estudio,
siempre preservando todos los datos adquiridos y trabajando con un escenario
replicado idéntico al original. En este punto NO estoy hablando únicamente de
cadena de custodia de un disco duro con sus clonaciones, HASH, custodia y
demás pruebas, estoy hablando en general de CUALQUIER prueba que
vayamos a analizar.
¿Se imaginan un análisis de una aplicación sin dar traslado de la misma con
garantías a la parte contraria para poder contrastar nuestra prueba? ¿Se
entiende un análisis de un terminal móvil sin presentar en formato digital la
prueba? Debo recordar que trabajamos con medios digitales y por tanto estos
deben ser presentados en su HABITAT ORIGINAL, es decir en formato
digital, para dar traslado a la otra parte y que pueda ejercer su derecho a
defensa.
¿Es esto siempre posible? Pues nuevamente debo decir que se debe estudiar el
caso, pero si hablamos de analizar un software integrado en un sistema que no

125
se permite extraer, lo que nos debemos plantear es hacer un acotamiento
correcto de la prueba y posteriormente poder presentar la prueba de otra
manera que no implique “arrancar” la máquina de una cadena de producción y
presentarla en el Juzgado… las formulas existen y únicamente queda a criterio
de cada perito el pensar la mejor manera de hacerlo (grabar posición y prueba
íntegra realizada en vídeo, generando un hash posterior del vídeo ante testigos
y posterior custodia del mismo podría ser una de las decenas de opciones que
habitualmente se usan para estos casos “extremos”).
Llega el momento de ponerse a trabajar en el despacho con la evidencia en
nuestra mesa, la cual está correctamente asegurada y nos hemos garantizado
que tenemos un clon idéntico. Obviamente sobra decir que habremos tomado
todas las medidas necesarias para que no se modifique la prueba. ¿Imaginamos
un móvil que estemos examinando y tengo un software de control remoto y
nos borren la prueba? Obviamente NO, por ello lo introduciremos en una
jaula Faraday mientras se clona el dispositivo para examinar. Ni que decir tiene
tampoco las modificaciones “sobre la marcha” de medios digitales… los cuales
también deben ser correctamente asegurados y con un sellado de tiempo que
nos permita hacer un análisis con garantía… Esta casuística se repetirá con
cada caso, cada cliente y cada examen que hagamos, si aquí tenemos problemas
y fallamos es mejor que no continuemos con el trabajo.

En este punto es cuando nos encontramos que al comenzar el análisis vemos

que las pruebas han sido muchas veces modificadas… ¿Cómo? Muy fácil,
hablas con el cliente y te indica que tras la salida del trabajador accedieron al
equipo y vieron “sospechas” o bien te indican que tras la ruptura de contrato
con el desarrollador de la aplicación, accedieron al código para hacer unas
mejoras…. entonces, ¿nos hemos cargado la cadena de custodia y se ha

126
infectado la prueba? Pues obviamente no es lo deseable, pero es lo más común
que nos encontramos y es aquí donde más énfasis tenemos que hacer los
peritos, en primer lugar NO ocultándolo y en segundo lugar documentando
durante todo el espacio de “rotura” todas las actividades que han realizado y las
implicaciones que pueden tener.
Después ya continuaremos con el análisis y entraremos en una eterna lucha de
cómo se ha examinado la prueba. ¿Hemos roto el secreto de las
comunicaciones? ¿Vulnerado algún derecho fundamental? ¿Estamos haciendo
el examen con software forense de garantía? Es aquí donde tenemos que hacer
un detallado análisis de todo nuestro trabajo. En primer lugar, es “igual” si el
análisis lo hacemos con un software libre o con un software de pago, siempre
que este sea forense, sin embargo y por mi experiencia en Juzgados en muchas
ocasiones se ha preguntado si he usado software de código abierto. ¿Qué
sentido tiene esa pregunta? Pues está claro, el software de código abierto
permite manipulaciones y alteraciones en el código, con lo cual puede infectar
la prueba. Es por ello que siempre recomiendo que se incorpore el HASH de
este tipo de software y se aporte además en formato digital al informe para
evitar cualquier problema.
Por otra parte debemos dejar muy claro el tipo de búsquedas que hemos
realizado y hasta donde hemos llegado (y de qué manera).
Si tuviera que definir los pasos a realizar para una pericia informática serían los
siguientes:

1. Identificación del incidente o proceso a analizar

2. Acotación del entorno a investigar
3. Recopilación de evidencias
(a) Recuperación de datos
(b) Aplicación de diferentes técnicas de
investigación
4. Preservación de Evidencias
(a) Almacenamiento de las mismas
(b) Etiquetado
(c) Cadena de Custodia
5. Análisis de Evidencias
(a) Reconstrucción
(b) Respuestas
6. Documentación y Resultados (Informe Pericial)
7. Ratificación en Juzgado y Defensa del Informe

127
De todos estos puntos es importante la correcta cadena de custodia y la
posterior documentación a realizar en el informe pericial. Un trabajo correcto
mal documentado (o viceversa) de nada sirve. Es por ello importante que
nuestros informes sean claros en estructura y redacción, haciéndolos
entendibles para legos en la materia, pero sin obviar un ápice de tecnicismos
necesarios para la descripción correcta de la prueba, recordando además que
cada afirmación debe estar correctamente fundamentada.
Dentro del informe deberá figurar claramente la autoría del mismo, dejando
este documento correctamente firmado (la firma es la expresión escrita del
335.2 LEC). Particularmente siempre recomiendo una estructura similar a la
siguiente:
· Firma de la pericia
· Resumen ejecutivo
· Objeto del encargo (Antecedentes y Objetivos)
· Fuentes de información
· Análisis (SIN conclusiones)
· Limitaciones encontradas para la realización del trabajo
· Conclusiones
· Curriculum del Perito
· Anexos
Con todo lo anterior y medidas prudenciales tendremos nuestro trabajo bien
realizado. Ahora bien, no todo en el monte es orégano… Esto no es siempre
lo que uno se encuentra en el Juzgado. Desde mi punto de vista y a modo de
anecdotario he encontrado detalles que creo que debo resaltar en este artículo
para que se tenga prudencia y no se permitan:
· Muchos peritos incluyen la geolocalización de su propio despacho (con mapa
incluido) en sus informes, siendo datos irrelevantes y que distraen el foco del
trabajo
· Cada vez se hacen más pericias de terminales móviles, sin embargo el 90% de
estos informes nunca llevan adjunto un soporte digital o una cadena de
custodia especificada.
Los timestamping se realizan abriendo una página de periódico online y
haciendo captura de fechas.
· Se apoyan en la figura del Notario para certificar autenticidad de mails, sin
revisar cabeceras, servidores,…
· Se aportan pantallazos de redes sociales sin garantía alguna.

128
· Aportan datos extraídos de otros equipos que no han sido custodiados
correctamente.
· No se comprueba ni contrasta el HASH
Se realizan opiniones no técnicas sobre los resultados obtenidos

Se podría escribir un anecdotario completo y muy extenso de diferentes casos

encontrados en Juzgados, no pudiendo pasar por alto temas tan impactantes y
dichos en juzgado como los siguientes:
“Las cadenas de custodia no sirven para nada”
“¿Clonadora? No, era muy cara, encendí el ordenador y analicé sus datos”
“Yo simplemente digo lo que me comentó mi abogado que escribiera”
“No he podido ver el terminal móvil” (tras presentar pericia de autenticidad de
WhatsApp)
“He accedido a la cuenta personal de correo del trabajador, pero eso no lo he puesto
en el informe”
…. estas y otras lindezas que ahora pueden sorprender han sido dichas en Sala
en los últimos meses y desde luego el resultado ha sido el esperado. Es por ello
que además de tener cuidado durante todo el proceso del trabajo, es luego
sumamente importante el saber expresarlo en un informe y mucho más el
saber ratificarlo, siendo siempre imparcial y claro en el trabajo a realizar.
A modo de finalización de este artículo: PRUDENCIA, SABER HACER y
SABER CONTARLO es la máxima que se debe seguir en todo trabajo técnico
si queremos que tenga plena validez y eficacia en un proceso judicial.
¿Es necesario el perito ingeniero informático para la presentación de
Evidencias Digitales? Es TOTALMENTE recomendable, debido a nuestra
preparación y continua formación. Realmente es el mejor aliado que un
abogado y un juez se van a encontrar en sala a la hora de defender la validez de
unas evidencias digitales.

Carlos ALDAMA SÁINZ

Fuente original:
http://informatica-legal.es/reto-perito-informatico/

129
169